采购需求及技术服务要求.DOC

2018年Checkmarx源代码安全扫描工具软件维护服务项目 采购需求及技术服务要求 一、工单化要求、项目结果指标、过程指标的考核付款要求概述 乙方及其所代理原厂商（以下统称“乙方”），需根据甲方制定的操作规程及相关制度提供服务，乙方所有服务工作内容需做到工单化，甲方的工单系统包括不限于：新运维服务管理系统 二、服务对象 序号 品牌 软件名称 数量 数量单位 服务起始日期 ） （年月日）Checkmarx CxEnterprise 永久license网络版源代码安全扫描工具 1 套 2018年8月3日 2019年8月2日 备注:若合同签署日期晚于2018年8月3日，则服务期限以合同签署之日起计算满一年。 三、项目结果指标、项目过程指标说明 项目结果指标，将从可用性（慢不慢）、连续性（断不断）、安全性 序号 项目结果指标分类 结果指标名称 考核指标值 1 安全风险值 代码漏洞安全风险漏报 27 2 可用性 系统稳定程度 99.99% 3 连续性 重大事故发生的次数 0次/年 4 重大事故平均恢复时间 0小时 5 安全性 重大安全事故发生次数 0次/年 1、可用性 定义： 协议可用时间定义为：自合同约定期限一年内系统软件 计算公式： 2、连续性 定义： 重大事故定义为： 1) 基于本项目，本项目，：新运维系统工单数据，统计全年发生的重大事故恢复时长 重大事故平均恢复时间=……/重大事故发生次数 计算公式：根据新运维系统运维工单数据，全年发生重大事故的次数 3、安全性范围内，软件乙方乙方所代的原厂商服务本要求的相关失误不要求工作不、人员原因导致范围内，软件乙方乙方所代的原厂商服务本要求的相关失误不要求工作不、人员原因导致乙方乙方所代的原厂商原因导致范围内，软件乙方乙方所代的原厂商服务本要求的相关失误不要求工作不、人员原因导致认定，属于本技术要求范围内 计算公式：对新运维系统运维工单进行提数，全年发生重大的次数 序号 服务内容 计划性/非计划性服务 对应结果指标 过程指标：工作量 过程指标：服务质量 考核数据来源 计划性工作工作量要求 服务质量指标名称 考核指标值 工单系统名称 工单类型 　1 版本升级 计划性 无 1次/年 无 1次/年 新运维服务管理系统 变更 　2 规则优化 无 2次/年 无 2次/年 新运维服务管理系统 变更 3 定期巡检 计划性 系统稳定度 1次/季度 无 1次/季度 新运维服务管理系统 巡检 4 支持服务 非计划性 重大事故平均恢复时间， 系统稳定度 无 电话响应时间 0.5小时 新运维服务管理系统 事件、问题 5 支持服务 重大事故平均恢复时间， 系统稳定度 无 工程师到场时间 4小时 新运维服务管理系统 事件、问题 6 支持服务 重大事故平均恢复时间， 系统稳定度 无 系统恢复时间 8小时 新运维服务管理系统 事件、问题 【备注】计划性服务内容是指预防性的主动性的日常运维工作，如巡检等。非计划性服务内容是指事件、问题等。 服务内容，服务工作量、服务质量过程指标描述 （1）版本升级： 服务商在质量保证期为用户提供版本升级服务。服务商需在发布后的，用户完成版本升级。版本用户工具的实际情况，的扫描分析规则进行优化，需定期为用户工具巡检服务，支持系统的响应时间和记录的电话响应时间 电话响应时长=响应时-事件建单与分类提交时： 计算公式：支持系统事件单时长和记录的工程师到场时间： 到场时长=工程师到场时-事件建单与分类提交时3）支持服务的系统恢复时间： 定义：发生系统宕机时，协助甲方尽快恢复操作系统； 计算公式：=系统恢复时点-与分类提交时指标 软件代码漏洞 ，其中N表示应用系统软件代码中发现的中危等级以上漏洞。 根据公司信息安全风险管理规则： 1、系统资产价值以公司内部确定为准 2、外部威胁环境=5，内部威胁环境3； 3、软件代码漏洞引入的脆弱性，高危漏洞=5，中危漏洞脆弱性=3 项目信息安全风险指标要求：单个应用系统代码漏洞威胁环境、50]%为基准费用并扣除乙方人员违反《人保财险信息技术部外来人员安全管理细则》产生的罚款金额后的费用 × 综合测评得分÷ 100分 （具体形式及最终内容依据甲方相关管理规定再行确定) 序号 考核指标 指标名称 未达到指标扣分分值（考核满分为100分） 1 安全指标 软件代码漏洞 （1）如安全风险值漏报实测结果，未超过承诺值，不扣分； （2）如安全风险值漏报实测结果，超过承诺值，每1%对应扣除1分，不足1%按1%计算，如：超出0.5%扣1分，超出1%扣1分，超出1.5%扣2分，超出2%扣2分……7%扣7分。 2 结果指标 系统稳定程度 10 3 重大